ГЕНЕРАЦИЯ ПАРОЛЯ

ГЕНЕРАЦИЯ ПАРОЛЯ

Как защитить свои аккаунты и не запоминать пароли

Вы уверены, что ваши аккаунты защищены надёжными паролями?

Проверьте, соответствуют ли они критериям информационной безопасности:

Даже один невыполненный пункт создает риск, что ваши аккаунты взломают. Эта статья поможет исправить ситуацию и создать безопасные пароли, удобные в использовании.


ГЕНЕРАЦИЯ ПАРОЛЯ

начальник управления информационной безопасности Минцифры Оренбургской области,

«Порой требования информационной безопасности кажутся избыточными и невыполнимыми. Я прекрасно знаю это чувство замешательства: „Как прикажете делать такие сложные пароли и держать их все в голове?“ Чтобы решить эту проблему, я изучал методы взлома и защиты информации, исследовал поведение и привычки людей. Я пытался найти золотую середину между защищённостью и удобством для пользователей. Результатом стала методика создания простых и человечных паролей. Эти пароли соответствуют современным требованиям безопасности. При этом их легко запомнить и вводить каждый день»

Как создать надёжный и простой пароль

Какой из этих паролей надёжнее?

Многие дают неправильный ответ — в этом нет ничего страшного. Это связано с тем, что устаревшая логика создания паролей продолжает активно продвигаться. Эта статья посвящена актуальной технологии.

Надёжность пароля зависит от трёх факторов:

Большинство сервисов делают акцент на последних двух факторах и заставляют пользователей вводить бессмысленные комбинации нечитаемых символов.


ГЕНЕРАЦИЯ ПАРОЛЯ

Требования Госуслуг. Если сложно придумать, сервис сгенерирует пароль. Выбирайте любой: 1e6=EJh~G7, HL_d8k7~!? или BBjw!7!P~2c


ГЕНЕРАЦИЯ ПАРОЛЯ

Яндекс доволен длиной пароля в 7 символов, но рекомендует добавить заглавные буквы и цифры

Такие правила создают иллюзию, что сложный нечитаемый пароль защитит от взлома. Люди придумывают непривычные для себя конструкции, силятся их запомнить и с трудом вводят, а эффекта от этого нет.

На самом деле важно наличие специальных символов, а не их количество и «сложность». Достаточно одной заглавной буквы и точки, чтобы пароль стал надёжным. Это связано с технологией взлома.

Некоторые переключаются на английский язык и вводят русские слова: так вместо фразы «этомойпароль» получается «’njvjqgfhjkm». Такой пароль невозможно ввести с телефона — приходится запоминать русскую расшифровку и набор символов английской раскладки

Раньше мошенники пользовались технологией брутфорс — перебирали все возможные комбинации символов до тех пор, пока не узнавали пароль. Эта технология зависит от видов символов, которые используются в пароле. Если пароль состоит исключительно из цифр, у каждого символа есть 10 вариаций — от 0 до 9. Если помимо цифр используется хотя бы одна буква английского алфавита, количество вариаций каждого символа возрастает до 36. Если добавляется одна заглавная буква — вариаций становится 62.

Символы могут повторяться, буквы и цифры — идти по порядку. Это не влияет на скорость взлома. Каждый символ пароля — отдельная переменная, которая не зависит от других. Поэтому для каждой из них компьютер заново решает уравнение.

Чем переменных больше, тем дольше происходит расчёт. Технология брутфорса позволяет взламывать пароли до 8 символов в длину. Подбор более длинных комбинаций занимает слишком много времени.


ГЕНЕРАЦИЯ ПАРОЛЯ

Компания «Хайв Системс» ежегодно проводит замеры времени на подбор разных паролей. По данным на 2022 год, пароль менее 6 символов в длину взламывается мгновенно, вне зависимости от его сложности. Согласно таблице, если пароль «Памидор23» переделать на «П*мидор23», мошенники будут возиться с ним не три недели, а пять месяцев. Но от добавления новой буквы эффект сильнее, и пароль «оПамидор23» мошенники будут подбирать три года

С появлением ССД технология взлома паролей обновилась и стала быстрее. Новый метод радужных таблиц позволяет заранее рассчитать возможные вариации перевода паролей в хеши и составить из них таблицы соответствия. Каждый пользовательский хеш сравнивается с таблицей — когда находится идентичный хеш, мошенник определяет, какая комбинация символов ему соответствует, и узнает пароль.

Технология радужных таблиц ускорила массовый взлом, поэтому мошенникам стали доступны пароли длинной в 10—12 символов.

Использование спецсимволов — усложняет работу мошенников, но не обеспечивает даже минимальную безопасность пароля. При одинаковой длине простой пароль с одной заглавной буквой и небуквенным символом обеспечивает такую же защиту, как и бессмысленное сочетание символов, цифр и букв разного регистра.

Надёжный пароль содержит от 12 символов. Такая норма учитывает возможность роста технологий. Ещё пару лет назад потолком для мошенников были 8 символов. Сейчас они взламывают десятизначные пароли. Пароль, в котором более 12 символов, даёт уверенность в том, что ваши аккаунты будут под защитой, даже если технологии усилятся.

Почему «помидор» через «а». Чтобы сократить время на взлом, мошенники используют перебор по словарю. « Словарная атака» работает только с паролями, состоящими из одного слова. Если в нём допущены ошибки, подбор по словарю не эффективен. « Памидор» — это пример защиты от этого метода.

символовминимальная длина надёжного пароля

Но мало придумать один хороший пароль. У каждого сайта он должен быть уникальным. Далее мы расскажем, как это сделать.

Как защитить все аккаунты

Когда один пароль подходит для нескольких сервисов, каждый из них защищён плохо. Мошенники сначала взламывают один сайт, а затем используют найденный пароль, чтобы получить доступ к другим. Так, взломав «Вконтакте», мошенники получат доступ к почте, Госуслугам и другим ресурсам.

Многие знают это правило, но соблюдают его единицы. Михаил выступает с лекциями по информационной безопасности. Когда доходит до темы паролей, спрашивает у зрителей: «Есть ли среди вас те, у кого пароли хотя бы в двух сервисах повторяются?» Руки поднимают практически все.

Мы понимаем, что придумать и запомнить разные пароли кажется невыполнимой задачей. Но есть методика, которая поможет создавать уникальные пароли, не ломая голову.

Шаг 1. Разделите все сервисы на три категории

Что будет, если мошенники взломают аккаунт в Госуслугах? Они смогут продать паспортные данные на чёрном рынке. Смогут оформить несколько компаний, а потом взять на них кредиты. Подобные ситуации — это реальные истории из практики Михаила.

А что, если взломают аккаунт в Пинтересте? Максимум — удалят пины и испортят ленту.

В зависимости от потенциального ущерба сервисы можно разделить на три группы:

Критически важные сервисы

Это сервисы, на которых хранятся:

— доступы к рабочим аккаунтам,

— данные банковских карт.

Сервисы умеренной критичности

— номер мобильного телефона,

— адрес места жительства,

— номер банковской карты.

В этих сервисах может храниться ФИО, дата рождения — не больше.

С их помощью нельзя размещать публичные заявления, вести диалоги и сохранять личные данные.

Шаг 2. Создайте для каждой группы тело пароля

Условно пароль можно разделить на две части: тело и изменяемую часть. Тело — это словосочетание или порядок символов, которые повторяются от пароля к паролю.


ГЕНЕРАЦИЯ ПАРОЛЯ

Придумайте три непохожих друг на друга тела пароля для каждой группы сервисов. Даже если мошенники получат пароль одной группы, две оставшиеся группы сервисов будут в безопасности.

Соблюдайте рекомендации, о которых мы писали выше:

Шаг 3. Добавьте к каждому паролю изменяемую часть

Изменяемая часть добавляется к телу и делает получившийся пароль уникальным.

2-3 символа — достаточная длина для изменяемой части.

Логика изменяемой части может быть любой.

Это может быть шифр. Например, каждому сервису в группе присваивается номер, который влияет на изменяемую часть: первому паролю в группе добавляется «1А», второму — «2B».

Можно использовать приём наследования, когда к каждому паролю добавляет признак сайта, для которого предназначен этот пароль. Например, для «Вконтакте» — «VK», для Госуслуг — «GU».

Старайтесь не ставить изменяемую часть в начало или конец пароля. Лучше «разрывать» ей тело пароля, встраивая изменяемую часть в центр.


ГЕНЕРАЦИЯ ПАРОЛЯ

Изменяемая часть в центре пароля

Почему это работает? Алгоритмы, которые подбирают пароли, не анализируют логику, по которой они составлены. Подобрав пароль от одного сервиса, машина не станет его изучать и пытаться подобрать изменяемую часть — это слишком дорого для массового взлома.

Шаг 4. Замените пароли во всех сервисах

Зайдите на каждый сайт, начиная с самого критичного уровня, и измените пароли на те, которые составили ранее.


ГЕНЕРАЦИЯ ПАРОЛЯ

заменила пароли по методике Михаила

«Может казаться, что это долгая утомительная работа. Я более полугода откладывала замену паролей — думала, что выделю выходной и разберусь с этой непосильной задачей. На деле же всё оказалось гораздо проще: 10 минут у меня ушло на то, чтобы придумать три тела и разработать логику изменяемой части, ещё 15 минут — на замену критически важных сервисов и сайтов средней важности. На многих второстепенных сайтах у меня стояли предложенные пароли, сохранённые в браузере — я не стала их менять, смирившись с тем, что могу потерять к ним доступ»

Не сохраняйте пароли в браузере. Это перечеркнёт все усилия по защите аккаунтов. Мошенникам понадобится взломать одну лишь почту, к которой привязан браузер, чтобы получить доступ ко всем паролям. Далее мы расскажем, как безопасно записать пароли, чтобы их не приходилось запоминать.

Как запомнить пароли

Наверно, вам хотя бы раз говорили, что нельзя записывать пароли. На самом деле вы можете записать пароли на стикер, прикрепить его на монитор рабочего компьютера или отдать в руки недруга, и ваши аккаунты останутся в безопасности. Главное, владеть приёмом обфускации.

Запишите тело пароля.

Добавьте в начало, середину и конец по паре символов или букв. Важно, чтобы они не выделялись, казались частью пароля. Так вы получите безопасный обфусцированный пароль.


ГЕНЕРАЦИЯ ПАРОЛЯ

Обфусцированный пароль бесполезен для мошенника, ведь он не откроет доступ к аккаунту. Понять, какие символы лишние, а какие относятся к телу пароля, практически невозможно.

Поставьте себя на место мошенника и попробуйте выделить настоящий пароль из обфусцированного:

Вероятность угадать — минимальная. Ни один мошенник и недоброжелатель не станет этим заниматься. К тому же в большинстве сайтов используется защита от перебора, и после двух—трёх неверных паролей доступ блокируется.

Теперь вы знаете, как сделать пароли надёжными. Поделитесь этими знаниями с близкими.

Как сделать пароли надёжными

На странице используются шрифты семейства Монтсерат (Montserrat).

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: